Suno、学習データに違法スクレイピング疑い
ハッキングされたデータにより、AI音楽生成企業SunoがYouTube MusicやDeezerなどから数百万曲の楽曲と歌詞を不正に収集し、著作権侵害訴訟で争われている事実が裏付けられた。
キーポイント
ハッキングによる学習データの露呈
「ellie.191」と名乗るハッカーが入手したデータにより、SunoがYouTube Music、Deezer、Geniusなどから数百万曲の楽曲と歌詞をスクレイピングして学習させた事実が明らかになった。
著作権侵害訴訟との整合性
RIAAなどが提起した著作権侵害訴訟で争われている「ストリーム・ ripping(ストリーミング音源の違法ダウンロード)」や、公開された音楽ファイルの利用に関する主張が、漏洩したコードによって裏付けられた。
具体的な収集規模と手法
SunoはYouTube Musicから約201万クリップ、数百時間のDeezerやGeniusのデータに加え、PodcastIndexを通じて約100万時間のポッドキャストも収集しており、サードパーティ企業Bright Dataを利用したスクレイピングも行っていた。
ボーカル抽出のための戦略
コード分析により、Sunoがア・カペラ(ボーカルのみ)の楽曲を特定して検索し、ボーカルトラックを抽出する戦略を採っていたことが示唆されている。
重要な引用
Suno data obtained in a hacking incident has exposed that the AI music generator was trained by scraping millions of songs and lyrics from online audio platforms
an amendment filed by the RIAA last year also alleges that Suno unlawfully circumvented YouTube's copyright protections by intentionally 'stream ripping' tracks from the platform.
The data includes Suno source code from 2023 and 2024, alongside scraping instructions to pull audio files from YouTube Music, Deezer, Genius...
影響分析・編集コメントを表示
影響分析
このニュースは、生成AI業界における学習データの透明性と著作権倫理に関する議論に決定的な影響を与える。Sunoのような企業が「公開されたデータ」として主張する範囲と、実際のスクレイピング手法(特に著作権保護の回避)との間に明確な乖離があることが示され、今後の法的判断や業界全体のデータ収集ガイドラインに大きな転換点を迫る可能性がある。
編集コメント
ハッキングされたデータが、AI企業の学習データ収集プロセスにおける「透明性の欠如」という構造的な問題を浮き彫りにしています。Sunoの事例は、生成AI業界全体が直面する著作権リスクと、技術的実装と法的解釈のギャップを象徴する重要なケーススタディとなるでしょう。
ハッキング事件によって流出した Suno のデータから、AI 音楽生成ツール「Suno」が YouTube Music、Deezer、Genius といったオンラインオーディオプラットフォームから数百万曲の楽曲と歌詞をスクレイピングして学習に利用していたことが明らかになりました。これは 404 Media が報じた内容です。
Suno は自社が使用するトレーニングデータの内容や、その入手方法についてこれまで明らかにしてきませんでした。そのため、この情報は Suno が実際にオンラインプラットフォームから何を取得していたのかを知る、極めて稀な事例と言えます。
これは重要な点です。Suno は、AI モデルの学習に著作権のある素材を使用したとして複数の訴訟の対象となっています。特に米国レコード産業協会(RIAA)が提起した注目すべき裁判では、Suno 自身が「オープンインターネット上の著作権付き資料や公開されている音楽ファイルを学習データとして利用することは、公正使用の法理に基づき法的に許可されている」と主張しました。裁判所がこの主張を認めるかどうかは別として、RIAA は昨年提出した修正訴状で、Suno が意図的に YouTube からの楽曲ストリーミングを「リッピング」することで同プラットフォームの著作権保護を違法に回避したとも指摘しています。
ハッカー「ellie.191」が 404 Media に提供した資料は、これらの主張を裏付けるものとして報告されています。入手されたデータには 2023 年と 2024 年の Suno のソースコードが含まれており、YouTube Music、Deezer、Genius、Pond5、Jamendo、Freesound、そして国際音楽楽譜ライブラリプロジェクト(IMSLP)から音声ファイルを収集するためのスクレイピング手順も記されています。さらに漏洩したコードからは、Suno が YouTube からの音楽収集にサードパーティ企業「Bright Data」を利用していたこと、同プラットフォーム上でア・カペラ版の楽曲を検索してボーカル音源のみを確保しようとしていたことがうかがえます。
YouTube Music に関するファイルには、最終更新時点までに Suno が 201 万 3545 件の YouTube Music クリップを消費していたと記載されています。別のファイルによれば、Suno が構築したデータセットには、YouTube Music から数百時間分(実際は数千時間)、Deezer、Genius、IMSLP、Jamendo、Pond5 からそれぞれ数千時間分、Freesound と MuseScore の歌詞からは数百時間分のデータが含まれていたそうです。さらに別のコードに基づくと、Suno はオンラインツール「PodcastIndex」を通じて、約 100 万時間のポッドキャストのダウンロードも試みていたとされます。
匿名の Suno 広報担当者は 404 Media に対し、「公的な提出書類や 開示情報 で明記した通り、Suno の AI モデルはオープンインターネット上のサードパーティサイトからアクセス可能な公開音楽ファイルおよび関連メタデータを用いて学習されています」と述べています。
ハッカーは顧客情報にもアクセスしており、メールアドレスや電話番号、Stripe の決済詳細などが含まれていました。*404 Media* が連絡した一部の顧客はサービスに登録していたことを認めつつ、Suno 側からセキュリティ侵害の通知を受けたことはないと言っています。
*Suno* は *404 Media* に対して声明を発表し、同社がセキュリティインシデントを把握したのは 2025 年 11 月であり、事態はすぐに収束したと説明しました。
「当時、私たちは直ちに調査を実施し、侵害されたのは現在 Suno で使用されていない古いソースコードであること、そして機密性の高い個人情報には影響が及んでいないことを確認しました。重要なのは、Suno は Stripe を通じた顧客のクレジットカード番号を完全に把握していない点です」と同社の広報は述べています。「対象となった顧客情報の範囲が限定的であったため、関連するプライバシー法に基づき、個別通知を行う必要はないと判断しました」。
この話題や著者からフォローして、パーソナライズされたホームフィードで類似記事を確認したり、メール更新を受け取ったりしましょう。
- Jess Weatherbed
原文を表示
Suno data obtained in a hacking incident has exposed that the AI music generator was trained by scraping millions of songs and lyrics from online audio platforms, including YouTube Music, Deezer, and Genius, 404 Media reports. Given that Suno has avoided revealing what’s in its training datasets and how they were acquired, this a rare glimpse into what Suno has *actually* been taking from online platforms.
That’s relevant because Suno has been the subject of several lawsuits that allege it used copyrighted materials to train its AI models. In a notable case filed by the Recording Industry Association of America (RIAA), Suno openly admitted that it does so, arguing that training on copyrighted materials and publicly available music files from the open internet is legally permitted under fair use doctrine. Whether or not a court agrees with that, an amendment filed by the RIAA last year also alleges that Suno unlawfully circumvented YouTube’s copyright protections by intentionally “stream ripping” tracks from the platform.
Materials shared with *404 Media* by the hacker, referred to as “ellie.191,” reportedly back up those allegations. The data includes Suno source code from 2023 and 2024, alongside scraping instructions to pull audio files from YouTube Music, Deezer, Genius, Pond5, Jamendo, Freesound, and the International Music Score Library Project (IMSLP). Other leaked code reportedly suggests that Suno used a third-party company called Bright Data to scrape music from YouTube, and seemingly searched for a cappella versions of songs on the platform to source vocal-only audio.
A file for YouTube Music notes that Suno had consumed 2,013,545 YouTube Music clips at the point it was last updated. According to another file, datasets compiled by Suno included hundreds of thousands of hours of YouTube Music, thousands of hours of Deezer, Genius, IMSLP, Jamendo, and Pond5, and hundreds of hours of Freesound and MuseScore lyrics. Suno also sought to download roughly one million hours of podcasts via an online tool called PodcastIndex, according to additional code.
“As we have stated in public filings and disclosures, Suno’s AI models have been trained on publicly available music files and related metadata accessible on third-party websites on the open Internet,” an unnamed Suno spokesperson said in a statement to *404 Media*.
Suno customer information was also accessed by the hacker, which included email addresses, phone numbers, and Stripe payment details. Some of the customers contacted by *404 Media* confirmed that they had signed up for the service, and said that Suno never notified them about a security breach.
In a statement to *404 Media*, a Suno spokesperson said the company became aware of a security incident in November 2025, and that the situation was quickly contained.
“At the time, we immediately conducted an investigation and verified that the incident primarily involved outdated source code that is no longer in use at Suno and that no sensitive personal information was compromised. Importantly, Suno does not have access to customers’ full credit card numbers in Stripe,” the Suno spokesperson said. “Based on the limited nature of the customer information believed to be involved, we determined that individual notifications were not warranted under applicable privacy laws.”
Follow topics and authors from this story to see more like this in your personalized homepage feed and to receive email updates.
- Jess Weatherbed
-
-
-
-
-
-
-
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み